W wyroku uchylającym decyzję Prezesa Urzędu Ochrony Danych Wojewódzki Sąd Administracyjny w Warszawie wskazał, że w sprawach skomplikowanych jak na przykład sprawy bankowe, Prezes UODO , zanim wyda decyzję powinien konsultować się z innymi organami administracji, w tym wypadku KNF. Zdaniem Prezesa UODO taki nakaz zagraża jego niezależności, która gwarantuje organowi unijne rozporządzenie.
Od czego to wszystko się zaczęło
W roku 2020 do Urzędu Ochrony Danych Osobowych (UODO) wpłynęła skarga, z której wynikało, że dane skarżącego są przetwarzane bez podstawy prawnej przez podmioty, które brały udział w rozpatrywaniu zapytań kredytowych złożonych przez skarżącego do banku.
Zdaniem skarżącego jego dane osobowe powinny zostać usunięte przez oba podmioty w związku z nieprzyznaniem mu kredytu i w konsekwencji nie zawarciem umowy kredytowej. W związku z wpłynięciem skargi UODO zwrócił się do administratorów danych o wyjaśnienie na jakiej podstawie przetwarzane są dane skarżącego. Jak wynika z wyjaśnień banku „obecnie dane osobowe Uczestnika są przetwarzane w związku z zapytaniami kredytowymi w celu oceny zdolności kredytowej na podstawie art. 70 ustawy z dnia 1997 r. Prawa bankowego (Dz. U. z 2019 r., poz. 2357, dalej Prawo bankowe) […] dane osobowe będą przetwarzane przez Bank przez okres 3 lat na podstawie 118 Ustawy z 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2020, poz. 1740).[1]”
Drugi z podmiotów „wskazał, że będzie przetwarzał dane osobowe uczestnika w związku ze złożonymi zapytaniami kredytowymi w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, w celu statystycznym i analiz przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania […], w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych – do momentu przedawnienia potencjalnych roszczeń wynikających z zapytań oraz w celu wypełnienia obowiązku wynikającego z art. 15 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […] w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji.[2]”
Szczepienia przeciw COVID-19 w zakładach pracy – stanowisko UODO
Wobec tak przedstawionych przesłanek przetwarzania danych osobowych organ stwierdził, że „W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzani danych osobowych Uczestnika został zrealizowany i brak jest podstaw prawnych do kontynuowania procesu.[3]” Organ nie uznał za słuszne również powoływania się na cele statystyczne i analizy jako podstawy przetwarzania danych ponieważ jego zdaniem w związku z brakiem zawarcia umowy z bankiem nie można mówić, że doszło do jakiegokolwiek zobowiązania. Odnosząc się do przetwarzania w celu obrony lub dochodzeń roszczeń organ wykazał, że nie zostały wskazane żadne dowody na okoliczność aby Uczestnik wystąpił z roszczeniami wobec administratorów lub na odwrót, wobec czego i ta przesłanka przetwarzania została odrzucona przez UODO. Jak również nie ma podstaw do przetwarzania danych w związku z koniecznością realizacji potencjalnego obowiązku wynikającego z art. 15 RODO. Żądanie usunięcia danych osobowych skarżącego zdaniem organu sugeruje, że nie będzie on chciał zrealizować swojego prawa do informacji. Ponadto, nawet w przypadku chęci realizacji takiego prawa wystarczy poinformowania strony, że dane nie są przetwarzane przez administratora.
W związku z brakiem przesłanek do dalszego przetwarzania danych osobowych skarżącego postępowania organ nakazał usunięcie jego danych przez oba podmioty. Podmioty uczestniczące w postępowaniu nie zgadzając się z decyzją wniosły odwołanie od niej.
WSA nakazuje konsultacje z KNF
Zdaniem podmiotów skarżących organ nie zebrał w sposób wyczerpujący materiałów do sprawy jak i nie podjął wystarczających kroków do jej wyjaśnienia m.in. organ powinien zwrócić się do „Komisji Nadzoru Finansowego jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych”[4]. Podmioty odwołujące się od decyzji Prezesa UODO kwestionowały również ustalenia organu w zakresie braku podstawy do przetwarzania przez nie danych osobowych w wypadku braku zawarcia umowy kredytowej.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 28 września 2021 r. podzielił stanowisko podmiotów odwołujących się od decyzji Prezesa UODO „Sąd dopatrzył się w działaniu organu rozstrzygającego w niniejszej sprawie nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa. Zdaniem Sądu nie zostały wyjaśnione motywy podjętego rozstrzygnięcia, a przytoczona na ten temat argumentacja nie jest wyczerpująca.[5]”
Zdaniem sądu, organ wydał decyzje jedynie w oparciu o wyjaśnienia uczestników postępowania, „Prezes UODO nie ustalił z urzędu innych wymaganych przez prawo celów przetwarzania ww. danych, jak również nie uwzględnił w decyzji wszystkich okoliczności przetwarzania wskazanych przez Bank […] W stanie faktycznym sprawy zasadne jest rozważenie zwrócenia się do Komisji Nadzoru Finansowego o zajęcie stanowiska w rozpatrywanej kwestii.[6]” Ponadto sąd wskazał, że zasada współpracy pomiędzy organami administracji jest zasadą ogólną i wręcz stanowi nakaz „w związku z potrzebą wyjaśnienia stanu faktycznego i prawnego sprawy, nie formalizująca przy tym sposobów tego współdziałania.”[7] Dlatego też decyzja PUDO została uchylona.
Niezależność zagrożona
Zdaniem Prezesa UODO Sąd niewłaściwie uznał, że organ nie wyjaśnił stanu faktycznego sprawy, bo opierał się jedynie na oświadczeniach uczestników postępowania. Jak wskazuje urząd w swojej skardze kasacyjnej „oświadczenia stron postępowania stanowią dowód równoprawny innym dowodom […] zgodnie z utrwaloną doktryną, strona postępowania powinna brać czynny udział w postępowaniu, w szczególności w zakresie gromadzenia materiału dowodowego.[8]”
Ponadto, organ przywołuje art. 58 ust. 1 lit. a RODO, który nakłada na administratora obowiązek „dostarczenia wszelkich informacji potrzebnych organowi nadzoru do realizacji swoich zadań.” Jak również art. 5 ust. 2 RODO, który zobowiązuje administratora do przestrzegania przepisów dotyczących ochrony danych osobowych.
Wobec czego: „W świetle ww. zasady to administrator danych odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur i dokumentów związanych z ochroną informacji, a także za stworzenie możliwości dowodowych wskazujących zgodność przetwarzania z przepisami. […] to na administratorze ciążył obowiązek wykazania, ze proces przetwarzania danych osobowych Skarżącego, prowadzony był zgodnie z ww. zasadami. […]odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych.[9]”
W oparciu o tak przedstawioną argumentację, zdaniem organu nie można mieć wątpliwości, że ciężar dowodowy w postępowaniu przez UODO ciąży na administratorze danych, a obowiązkiem organu jest egzekwowanie stosowania przepisów RODO.
Odnosząc się do nakazanej współpracy z Komisją Nadzoru Finansowego i niezależności organu, Prezes UODO wskazał na art. 51 ust 1 RODO, który mówi, że za monitorowanie przepisów RODO powinien odpowiadać co najmniej jeden niezależny organ. Niezależność organu stojącego na straży ochrony podstawowych praw i wolności osób fizycznych jest również wskazywana w motywie 117 RODO. Za to motywy 122 i 123 RODO wskazują, że to wyznaczone organy nadzorcze są wyłącznie odpowiedzialne za monitorowanie stosowania przepisów RODO. Wobec czego zdaniem Prezesa UODO nakaz konsultacji z KNF w zakresie przetwarzania danych osobowych jest bezzasadny, ponieważ KNF nie jest podmiotem odpowiedzialnym za monitorowanie przepisów RODO.
Zdaniem Prezesa UODO posiada on wystarczającą wiedzę specjalistyczną do wydania decyzji bez konieczności wspomnianych konsultacji. Ma on wieloletnie doświadczenie w wydawaniu decyzji w sprawach o podobnych stanach faktycznych a ponadto nawet w przypadku uzyskania takiego stanowiska nie byłoby ono wiążące dla Prezesa UODO.
Co w tym jest najważniejsze
Wojewódzki Sąd Administracyjnej skupił się w uzasadnieniu swojego wyroku na przepisach krajowych, które zobowiązują do współpracy organy administracji publicznej. Jednakże jak słusznie to podniósł urząd w skardze, Sąd nie wziął pod uwagę przepisów RODO. Jako, że organ ten realizuje swoje obowiązki nie tylko w oparciu o przepisy krajowego kodeksu postępowania administracyjnego, ale również samego rozporządzenia o ochronie danych osobowych (RODO). Rozporządzenie wielokrotnie wspomina i nakazuje by ustanowiony organ krajowy nadzorujący przestrzeganie przepisów RODO był niezależny.
Jak twierdzi Prezes UODO jako organ niezależny powinien on móc samodzielnie podejmować decyzje o konieczności lub braku takiej konieczności konsultowania się z innymi podmiotami przed wydaniem decyzji. Warto również zauważyć podniesioną przez organ kwestię, że administratorzy wykazali podczas postępowania przed organem jedne podstawy przetwarzania danych osobowych, a następnie już w skardze do Sądu powołali się na inne, które nie podlegały ocenie Prezesa UODO.
Sprawa nie jest zatem jednoznaczna, każda ze stron ma swoje argumenty, ale kluczowe wydaje się rozstrzygniecie co do niezależności urzędu. Być może nawet ważniejsze, niż sama skarga, która stała się przyczynkiem do takiego obrotu sprawy. Warto śledzić dalszy ciąg tej sprawy i potencjalne rozstrzygnięcie, które może pokazać czy istnieje konieczność uzyskiwania wiedzy specjalistycznej przez Prezesa UODO od innych organów administracji publicznej. Jak i konieczność analizowania wszystkich potencjalnych podstaw przetwarzania danych osobowych przez Prezesa UODO nawet gdy podstawy te nie zostaną powołane przez administratora w trakcie postępowania. Z pewnością my będziemy czekać na to rozstrzygnięcie.
Pełna treść wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 września 2021 r. w sprawie II SA/Wa 474/21 oraz skargi kasacyjnej od ww. wyroku są dostępne na stronie Urzędu Ochrony Danych Osobowych pod linkiem https://uodo.gov.pl/pl/138/2251
[1] Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 września 2021 r. w sprawie sygn. Akt II SA/Wa 474/21.
[2] Tamże.
[3] Tamże.
[4] Tamże.
[5] Tamże.
[6] Tamże.
[7] Tamże.
[8] Skarga kasacyjna Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 września 2021 r. w sprawie o sygn.. akt II SA/Wa 474/21.
[9] Tamże